Sekretessbelagda uppgifter
Menprövning och presumtivt samtycke
Det kallas menprövning när man prövar om personuppgifter kan röjas utan att det är till men för den som uppgifterna rör eller dennes närstående. Huvudregeln är att en menprövning ska göras enligt 25 kap. 1 § offentlighets- och sekretesslagen innan uppgifter om en patient får lämnas ut. Inom hälso- och sjukvården råder stark sekretess, vilket innebär att en uppgift endast får lämnas ut om det står klart att utlämnandet inte är till men för patienten. Begreppet men har en mycket vidsträckt innebörd och tar framförallt sikte på de olika kränkningar av den personliga integriteten som kan uppstå om uppgifterna lämnas ut. Utgångspunkten för bedömningen ska vara den enskilda personens egna upplevelse.
Undantag från denna huvudregel gäller om det föreligger uppgiftsskyldighet enligt lag eller om informationsöverföring får ske med stöd av särskild bestämmelse i offentlighet- och sekretesslagen. Menprövningen bör göras av någon som har god överblick över hela situationen. Undantag gäller som huvudregel om patienten samtycker till att uppgifterna lämnas ut. Det gäller dock inte om det finns uppgifter om annan person, till exempel anhörig, i journalen. Då måste vanlig menprövning göras.
Det är vanligtvis den medicinskt ansvarige läkaren eller omvårdnadsansvarig sjuksköterska som ansvarar för att menprövning har gjorts innan sekretessbelagda uppgifter lämnas ut. Varje vårdgivare är skyldig att ha rutiner för vem eller vilka som har rätt att på vårdgivarens uppdrag fatta ett beslut om utlämnande av patientuppgifter.
När man som personal informerar en patient om kommande vårdåtgärder, till exempel en remiss, och patienten inte protesterar, förutsätts att patienten har gett sitt samtycke till att nödvändigt journalmaterial överförs med remissen. Detta är ett exempel på så kallat presumtivt samtycke.
Offentlighets- och sekretesslagen gäller inte för enskilt bedriven hälso- och sjukvård. Här gäller istället bestämmelser om tystnadsplikt i patientsäkerhetslagen, se nedan.
Informationssäkerhet
Enligt Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården ska vårdgivarens ledningssystem innehålla en informationssäkerhetspolicy. Denna policy ska innehålla vårdgivarens övergripande mål och inriktning för verksamhetens arbete med informationssäkerhet och syfta till att bland annat säkerställa personuppgifternas konfidentialitet, det vill säga att obehöriga inte ska kunna ta del av dokumenterade personuppgifter hos vårdgivaren. Se 3 kap. 2 § p.3 och 4 § i HSLF-FS 2016:40.
Överföring av sekretessbelagda uppgifter
När sekretessbelagd information ska meddelas vidare måste det ske på ett sådant sätt så att inte obehöriga kan ta del av informationen. Var särskilt aktsam när informationen ska överföras via så kallade öppna nät. Med öppna nät avses datornätverk som en enskild användare har tillgång till, exempelvis internet och telenätet.
En vårdgivare som använder öppna nät vid behandling av personuppgifter är ansvarig för att överföring av uppgifterna görs på ett sådant sätt att inte obehöriga kan ta del av dem, och för att elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av så kallad stark autentisering. Det vill säga inloggningslösningar som ställer krav på att identiteten kontrolleras på minst två olika sätt, till exempel e-legitimation. Se 3 kap. 15 § i HSLF-FS 2016:40. Kravet på att överföringen av uppgifterna ska göras på ett sådant sätt att obehöriga inte kan få tillgång till dessa innebär i praktiken att uppgifterna måste vara krypterade eller överföras genom en krypterad förbindelse.
När det gäller överföring av påminnelser och kallelser till vård och behandling som riktar sig till patienter så får vårdgivaren under vissa förutsättningar besluta om undantag från kravet på kryptering. Det innebär att uppgifter om patienter i elektroniska påminnelser och kallelser som kommuniceras över öppna nätverk, exempelvis via sms eller e-post, inte behöver krypteras. Se 3 kap. 16 och 17 §§ i HSLF-FS 2016:40.
Förvaring av sekretessbelagda uppgifter
Dokument som innehåller sekretessbelagda uppgifter om patienter ska antingen förvaras under uppsikt eller vara inlåsta. För patientuppgifter som förs helt eller delvis automatiserat gäller att vårdgivaren ska säkerställa att informationssystem som används för behandling av personuppgifter skyddas fysiskt mot skada, störning och obehörig åtkomst (3 kap. 14 § i HSLF-FS 2016:40).